Microsoft VPN a source NAT
Ales Komarek
a.komarek na aquasoft.cz
Čtvrtek Říjen 13 14:47:58 CEST 2005
Ahoj,
mam nasledujici problem - konfigurace FC4, kernel 2.6.13 (z distribuce)
a pravidla packetoveho filtru propoustejici microsofti VPN skrz linux
firewall do vnitrni LAN.
Pri pruchodu packetu fw se delaji nasledujici akce:
* DNAT pro protokol tcp port 1723 a protokol 47 (GRE) na microsofti VPN
server
* povolen obousmerne FORWARD techto packetu (opet protokol tcp port 1723
a protokol 47 (GRE))
* SNAT na IP adresu FW z IP rozsahu LAN (aby nemusel mit microsoft VPN
server nastaveno spravne routovani a vracel odpovedi zase pekne zpet na FW)
Toto cele funguje v pripade, ze se ze site pred fw pripojuje pouze jeden
klient do microsofti VPN.
Pokud to zkusi dalsi - zustane viset na overovani uzivatelskeho jmena a
hesla - spojeni se jiz nikdy nenavaze a cela akce konci (packety ovsem
fw prochazeni - nebot pokus o spojeni probehne, ale cele to skonci na
vyse zminemem overovani).
Po nekolika experimentech jsem zjistil, ze pokud se bude pro kazdeho
klienta delat podle jeho source IP vlastni SNAT preklad (tedy pro
kazdeho klienta se bude delat SNAT na jinou IP adresu z rozsahu LAN) vse
funguje naprosto vporadku a bez problemu se spoji vice klientu najdenou.
Nenadapa Vas nekoho, kde muze byt problem? (cekal bych problem nekde u
SNATu a protokolu GRE, ale nechapu moc proc a jak to resit pres SNAT na
jedinou IP)
Predem dekuji za Vase odpovedi ... Ales Komarek
Další informace o konferenci Linux